Windows桌面应用程序(1-3-3-2nd) WOW64实现细节

最新推荐文章于 2025-05-07 11:27:21 发布
翻译 最新推荐文章于 2025-05-07 11:27:21 发布 · 1.1k 阅读 · 0
文章标签:

#Windows #桌面应用 #64位

WOW64仿真器负责在64位系统上运行32位应用程序,通过提供特定DLL实现用户模式下的系统调用。它包含多个组件如Wow64.dll、Wow64Win.dll等,支持不同架构如x64、Intel Itanium和ARM64。在启动时,加载32位Ntdll.dll并初始化,加载所需32位DLL。环境变量在创建进程时被调整以适应不同架构需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WOW64仿真器以用户模式运行。它提供32位版本的Ntdll.dll与处理器内核之间的接口,并拦截内核调用。 WOW64模拟器包含以下DLL:

  • Wow64.dll提供核心仿真基础结构和Ntoskrnl.exe入口点函数的thunk。
  • Wow64Win.dll为Win32k.sys入口点函数提供了thunk。
  • (仅限x64)Wow64Cpu.dll支持在x64上运行x86程序。
  • (仅限Intel Itanium)IA32Exec.bin包含x86软件模拟器。
  • (仅限Intel Itanium)Wowia32x.dll提供IA32Exec.bin和WOW64之间的接口。
  • (仅限ARM64)xtajit.dll包含x86软件模拟器。
  • (仅限ARM64)wowarmw.dll支持在ARM64上运行ARM32程序。

这些DLL以及64位版本的Ntdll.dll是唯一可以加载到32位进程中的64位二进制文​​件。在ARM上的Windows 10上,CHPE(编译混合可移植可执行文件)二进制文件也可以加载到x86 32位进程中。

在启动时,Wow64.dll加载x86版本的Ntdll.dll(或CHPE版本,如果启用)并运行其初始化代码,该代码加载所有必需的32位DLL。几乎所有32位DLL都是32位Windows二进制文件的未修改副本,但由于性能原因,有些是作为CHPE加载的。编写这些DLL中的一些在WOW64上的行为与在32位Windows上的行为不同,通常是因为它们与64位系统组件共享内存。系统保留超过32位限制的所有用户模式地址空间。有关更多信息,请参阅WOW64下的性能和内存消耗

不使用x86系统服务调用序列,而是重建进行系统调用的32位二进制文​​件以使用自定义调用序列。这个调用序列对于WOW64来说是很便宜的,因为它完全处于用户模式。检测到自定义调用序列时,WOW64 CPU将转换回本机64位模式并调用Wow64.dll。 Thunking在用户模式下完成,以减少对64位内核的影响,并降低可能导致内核模式崩溃,数据损坏或安全漏洞的thunk中的错误风险。 thunk从32位堆栈中提取参数,将它们扩展为64位,然后进行本机系统调用。

环境变量

当64位进程创建32位进程时,或者32位进程创建64位进程时,WOW64会为创建的进程设置环境变量,如下表所示。

进程环境变量
64位进程PROCESSOR_ARCHITECTURE=AMD64或PROCESSOR_ARCHITECTURE=IA64或PROCESSOR_ARCHITECTURE=ARM64
ProgramFiles=%ProgramFiles%
ProgramW6432=%ProgramFiles%
CommonProgramFiles=%CommonProgramFiles%
CommonProgramW6432=%CommonProgramFiles%
Windows Server 2008, Windows Vista, Windows Server 2003 和 Windows XP:
从Windows 7和Windows Server 2008 R2开始添加ProgramW6432和CommonProgramW6432环境变量。
32-bit processPROCESSOR_ARCHITECTURE=x86
PROCESSOR_ARCHITEW6432=%PROCESSOR_ARCHITECTURE%
ProgramFiles=%ProgramFiles(x86)%
ProgramW6432=%ProgramFiles%
CommonProgramFiles=%CommonProgramFiles(x86)%
CommonProgramW6432=%CommonProgramFiles%

Global Hooks

如果满足以下条件,SetWindowsHookEx函数可用于将DLL注入另一个进程:

  • 32位DLL只能注入32位进程,而64位DLL只能注入64位进程。 无法将32位DLL注入64位进程,反之亦然。
  • 32位和64位DLL必须具有不同的名称。
  • DLL和进程的体系结构必须匹配。 例如,您不能将32位x86 DLL注入32位ARM进程。

有关更多信息,请参阅SetWindowsHookEx

请注意,可以在安装挂钩的线程上调用WH_MOUSEWH_KEYBOARDWH_JOURNAL*WH_SHELL和低级挂钩,而不是处理挂钩的线程。 对于这些挂钩,如果32位挂钩位于挂钩链中的64位挂钩之前,则可能会调用32位和64位挂钩。 有关更多信息,请参阅使用挂钩

原文链接:WOW64 Implementation Details

这是一个server程序wow
07-24
这是一个强大的server,见你所不能见。加入时光小组,你,可以改变一切。
cudnn-11.4-windows-x64-v8.2.4.15.zip
07-01
标题中的"**cudnn-11.4-windows-x64-v8.2.4.15.zip**"指的是CUDNN的一个特定版本,适用于64Windows 10操作系统,并且与CUDA 11.4版本兼容,其库文件版本为8.2.4.15。这个压缩包包含了所有必要的组件,如库文件、...
WoW64子系统
weixin_34319111的博客
07-21 193
转换库WoW64子系统是一个轻量级的compatibility layer, 在所有版本的windows上都拥有同样的接口. 它的主要目的是用来创建32-bit环境, 为了让32的应用程序可以不经过任何修改就运行在64-bit的系统上, 它提供了必须的接口.技术上说, WOW64是由三个DLL实现的.Wow64.dll 是Windows NT kernel的核心接口, 在3264调用之间进...
WOW64
顺其自然~专栏
04-30 871
WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统,它为现有的 32 应用程序提供了 32 的模拟,可以使大多数 32 应用程序在无需修改的情况下运行在 Windows 64 版本上。 简介 它类似于旧的 WOW32 子系统,负责在 Windows 32 版本下运行 16 的代码。 硬件本身具有 32 兼容性模式,可以处理IA-32指令的实际执行,而 WOW 层处理诸如在 32 64 模式之间切换处理器以及模拟 32 ..
WOW64机制
fa1c4的blog
03-19 573
WOW64: Windows On Windows64 是一种在64OS中支持运行的32应用程序的机制. 64Windows中, 64应用程序会加载64的kernel32.dll, ntdll.dll, 32应用程序会加载32的kernel32.dll, ntdll.dll. WOW64则会将32的dll文件的API请求重定向到64的dll文件. 注意内核模式都是64的, 32是通过WOW64转换到64运行. ...
判断程序时否跑在64bit机的WOW64模式下
tianyu的专栏 - Linux site:blog.youkuaiyun.com/wishfly
12-29 2188
判断程序时否跑在64bit机的WOW64模式下其中程序有三种情况:一是64bit的程序跑在64bit下,那么不是wow64模式,返回0二是32bit程序跑在64bit下,是wow64模式,返回1.三是32bit程序跑在32bit下,返回0.typedef BOOL (WINAPI *LPFN_ISWOW64PROCESS) (HANDLE, PBOOL); LPFN_ISWOW64PROCESS
Unofficial Action Cam Yi Desktop:非官方动作相机Yi桌面应用程序-开源
05-12
Action Camera Yi Desktop App 2nd Version是一款可用于通过台式机/计算机控制Action Camera Yi的应用程序。 此应用程序提供了更快的数据处理。 在“功能”部分中,您可以查看此应用程序提供的功能。 此应用程序具有...
python-gui-programming-cookbook-2nd.zip_Python-GUI_him8ua_python
07-15
通过学习这本书,读者将能够熟练掌握Python GUI编程技术,为创建各种类型的桌面应用程序打下坚实基础。无论你是想为日常工作编写简单的辅助工具,还是希望开发商业级的复杂应用,这本书都将提供必要的指导和支持。
TCP IP Illustrated, Volume 1,2,3 网络底层协议-全英文资料
10-15
TCP IP Illustrated, Volume 1,2,3 网络底层协议-全英文资料(全) 1,TCP-IP Illustrated, Volume 1_The Protocols 2,TCP IP Illustrated, Volume 2_ The implementation 3,TCP IP Illustrated, Volume 3_ for ...
Windows XP All-in-One Desk Reference For Dummies, 2nd Edition.pdf
06-29
Windows XP All-in-One Desk Reference For Dummies, 2nd Edition, takes you through the Land of the Dummies — with introductory material and stuff your grandmother could (and should!) understand — and ...
vxhook 3.9.12.15 X64 接受消息 发送文本 发送图片 删群成员
10-19
最新版vx-hook-3.9.12.15 X64 新增:删除群成员 功能:接收消息 发送文本 发送图片 发送文件 调用了wow 64模块和 精易模块,wow64模块和源码已打包 精易模块在论坛下载即可。
x64进程远程hook,x64_远程调用函数,源码更新V2.32021/5/5-易语言
06-11
源码为下方连接帖子后续更新内容:浅谈64进程远程hook技术:(本帖介绍了 通讯模式为消息模式 采用JMP长转移时易语言 如何在X64进程中构建远程hook ) https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 源码是以WoW64开源模块的基础上封装的其他的功能,不管您是转载还是使用请保留版权,源码在精益论坛免费发布只作为技术交流本人未获利,请不要用于非法途径,否则造成的任何后果与本人无关。 源码可直接调试启动,编译时更改下模式即可编译为模块 在此要强调一个事情,我们封装这个hook源码并开源,初衷并不是让朋友去搞模拟器封包,只是为了更好弥补易语言对x64进程hook操作方面的资源 还有很多朋友经常来找我,加些其他封包API进来啊,某某按钮操作不方便啊,我想说的是源码自带实列只是为了让朋友们知道如何应用hook,我们开源的不是封包工具源码,我们只是种菜的不是炒菜的 。
x64进程远程hook,x64_远程调用函数,源码更新V1.8.7:2021/4/16-易语言
06-11
wow64_hook 源码历史更新 --------------------------------------------------------------- 2021/4/16  模块源码1.8.7 更新: 1:重新架构了穿插汇编指令,优化了一些代码和流程 2:在 远程hook64指令_安装()时新增可回调的3个自定义参数值,这些值在回调接口的[寄存器64.自定义值123]里可获取到该值 3:修复 寻找无效8字节指令地址()中一个重要BUG,此BUG极大可能导致之前版本在 远程hook64指令_安装()时即导致目标程序崩溃的现象 本次更新比较重要 建议使用者更新到此版本使用............ --------------------------------------------------------------- 2021/4/15  模块源码1.8.6 更新: 1:新增3组函数:X64_取模块代码区起始地址(),X64_取模块入口地址(),X64_取模块代码执行段大小() 2:自定义类型:模块信息64,的成员构成新增改动为 以下,在枚举模块中亦可直接取得 成员 模块基址, 长整数型, , , 模块映像的内存地址 也称为句柄 成员 模块长度, 整数型, , , 整个模块文件长度 成员 模块入口, 长整数型, , , 模块入口函数地址 如 Mian/DllMain 成员 模块代码入口, 长整数型, , , 模块代码执行区起始地址 成员 模块代码长度, 整数型, , , 模块代码执行区的长度 成员 模块名称, 文本型, , , 文件名称 成员 模块路径, 文本型, , , 完整的路径地址 3:新消息接口()远程返回_调用回调子程序()优化了代码严谨性,减少hook目标崩溃的可能性 4:寻找无效8字节指令地址()由之前的全模块查找 改动为 在模块代码执行区查找 5:改写模块实列为 一对多的模式 6:模块实列操作控件的方式由变量改为堆内存,避免引起多线程自身崩溃 7:模块实列 对 recv,recvfrom两个函数的hook方式由原先 在回调内 暂停recv-->recv_call-->恢复recv,的方式改为经过特殊改造的 recv_call,这个call经过特殊处理,在recv回调函数内调用,用来取得真实长度,这个调用会绕过hook置,所以不会触发 recv回调,详见源码 8:修改了一些已知可能出现的问题 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.2更新 1:修复 x64_远调用函数()在 易语言 主线程调用时造成消息无法回调,导致易语言主线程窗口卡死的问题。      感谢楼下易友发现的BUG,已经第一时间更新 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.1更新 1:修复 hook全部卸载时的流程写法的一个错误,由于句柄的提前关闭导致多个hook点卸载不干净的问题 2:改写了消息回调时线程传参的代码优化,优化了其他一些小问题 3:  鉴于很多朋友需要,改写了模块自带实列,对TCP,UDP的两组封包函数做了hook实列写法 4:列子中同样增加对x64_远调用函数()的应用写了几个列子,如使用套接字取得本地或远端IP端口API调用的的应用实列 5:本hook模块不支持非模块内存区hook,如申请的动态分配页等,不是不能支持,只是觉得没有任何意义,对这方面有需求的,自行改写模块源码使用 提醒:hook回调函数中尽量减少耗时代码,时间越长返回越慢,回调中谨慎操作控件,如必须要用到可参考源码中实列写法采用线程操作 --------------------------------------------------------------- 2021/3/1   模块源码v1.6更新: 1:修复  x64_远程调用函数()命令,在没有提供 寄存器 参数时,没有返回值的BUG。 --------------------------------------------------------------- 2021/2/28 模块源码v1.5更新: 一:修复win7 64系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 远程hook64指令_安装 的稳定性:        1,穿插代码中增加对标志的保护,避免hook置长度下一条指令为跳转时产生跳转错乱的问题,强化了hook任意置的定        2,因为穿插代码中会调用AP
原创易语言微信Hook-Demo-4.0.3.36-4.0.3.39-4.0.3.40纯源码
04-17
现在源码里自动判断v4.0.3.36 v4.0.3.39 v4.0.3.40 也就是说上面三个版本全部都支持!!! 众所周知VX4.0已经重构,大概从 v4.0.3.19 版本起,产品脱离测试阶段,转为正式版。 目前(截止发帖2025年4月16日 22:24:34)已经发布 v4.0.3.39 版本,官网可下载到,如官网又更新了新版本,可以到源码里备注的地址下载4.0.3.39版本安装包。 之前有研究一段时间3.9版本,最新版本号3.9.12.51可能以后再也不会更新了,所以现在要开始学习4.0版本。 无奈本人技术有限,目前只能勉强做到HOOK实时消息、获取登录用户信息、获取所有联系人信息列表、实现多开和消息防撤回 研究VX纯属个人兴趣爱好,没有任何商业相关,如有志同道合的朋友可以加我一起交流。 源码内相关功能我已经自己正常使用长达10个月多,从未出现过封号或限制登录等情况! 源码相关: 一、多开和消息防撤回:通过修改dll2个字节实现,一次修改永久生效。可以在已经登录了之后再同时打开多个。 二、获取登录用户信息:直接读取偏移地址读出wxid、account、昵称、手机号、签名、数据文件路径 三、获取所有联系人信息:用到了搜索,所以联系人很多的话可能要几秒时间吧 四、HOOK实时消息:可惜的是没找到图片消息的图片文件名(3.9.12.51是可以取到的),可能是我Hook点不对吧,xml消息里cdnthumbaeskey和cdnthumburl也不知道怎么拿来下载图片 源码内使用模块说明(已全部一起打包):精易模块[v11.1.5].ec、wow64_hook_3.32_修正.ec、特征码模糊搜索Ex.ec 前面2个不用讲也知道,特征码模糊搜索Ex.ec这个模块是我从别的模块里复制粘贴出来的。
wow64
a31602222的博客
11-04 651
WOW6432程序其实拥有64程序的全部功能包括32注入64、枚举64进程模块、Hook64模块、调用64API等等等等....因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64进程只是自己以为是32程序而已就如黑客帝国里面一样,只要你意识到了,就能超越你认为所不能的。RtlGetNativeSystemInformation = _NtWow64G...
WoW64架构解析:如何在64系统上运行32应用
最新发布
weixin_36304957的博客
05-07 1070
本文深入解析了Windows 64系统(WoW64)架构的核心原理。WoW64是一个软件层,允许32应用程序64操作系统上运行。它通过一组用户模式DLL来实现,包括Wow64.dll、Wow64win.dll等,这些DLL负责翻译和模拟32代码。文章还探讨了文件系统和注册表重定向、系统调用的处理方式,以及在ARM64系统上运行32应用程序的技术细节
Windows系统缺失wpnapps.dll文件如何解决?
amio555的专栏
07-03 782
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wpnapps.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wpnapps.dll丢失要怎么解决?
修复wow64cpu.dll缺失或损坏导致的程序启动失败
czl922的博客
09-04 1014
确保下载的DLL文件来源可信,以避免潜在的安全风险。但请注意,并非所有DLL文件都需要注册,且wow64cpu.dll作为系统文件,通常不需要手动注册。:点击“开始”菜单,输入“cmd”,在搜索结果中右键点击“命令提示符”,选择“以管理员身份运行”。对于不熟悉手动操作的用户,可以使用第三方DLL修复工具来自动检测和修复缺失或损坏的DLL文件。:点击“一键修复”按钮,工具将自动下载并替换缺失的DLL文件,或者修复损坏的文件。:打开工具后,按照提示进行系统扫描,工具会自动检测并列出缺失或损坏的DLL文件。
《深入解析Windows操作系统》之系统机制
weixin_45239587的博客
08-13 883
内容总结: 重难点笔记: 陷阱分发: 中断和异常是导致处理器转向正常控制流之外代码的两种操作系统条件。硬件或者软件都可以检测到这两种条件。术语陷阱(trap)指的是这样一种机制,当异常或者中断发生时,处理器捕捉到一个执行线程,并且将控制权转移到操作系统中某一固定地址处。在 Windows中,处理器会将控制权转给陷阱处理器(trap handler)。所谓陷阱处理器,是指与某个特定的中断或异常相关联的函数。 激活陷阱处理器的条件: 中断是一个异步事件(可以在任何时候发生),并且与处理器当前正在执行的任务毫
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值